A közelmúlt sikeres internetes támadásai

A szokásos adatszivárgás-megelőzési megoldások mellett fontos felismerni azokat a veszélyeket, amelyeket a kiberbűnözés jelent a vállalati és személyes adatbiztonságra. A webhelyeket rutinszerűen támadják meg a biztonsági rések kihasználásával, például parancsfájlok helyek közötti futtatásával (Cross Site Scripting – XSS), SQL-injection technikával és a nem javított biztonsági rések kihasználásával. Egy sikeres támadásnál általában az alábbi két következménnyel kell számolni: adatbányászatot végeznek az adott webhelyen, vagy rosszindulatú kóddal fertőzik meg, esetenként átirányítják egy rosszindulatú kódot tartalmazó másik webhelyre. Egy másik, egyre népszerűbb módszer a rosszindulatú kódot tartalmazó felugró hirdetések elhelyezése „ártalmatlan” webhelyeken. Emellett nem szabad megfeledkezni a sok rosszindulatú kódot tartalmazó webhelyekről sem, amelyeket azért hozták létre, hogy megfertőzzék a mit sem sejtő Internet-felhasználók számítógépeit. Veszélyt jelenthetnek még az adathalászati webhelyek, amelyek célja, hogy kicsalják az emberektől bejelentkezési adataikat.

A közelmúltban történt sikeres támadások közé tartozik többek között az Auction.co.kr webhely elleni támadás, ahonnan 18 millió ügyfél adatait lopták el (2008. február 10.); az Egyesült Államokbeli DA Davidson helyi pénzügyi szolgáltató pedig 226.000 ügyfél adatait vesztette el (2008. február 4.). A Pennsylvania állam kormányzati webhelyét pedig SQL-injection technikával törték fel, alakították át és fertőzték meg rosszindulatú kóddal (2008. január 6.). Valószínű, hogy ez a támadás a Storm féreghez hasonló művelet része volt. Az RIAA webhelyet kétszer is megtámadták egy hétvége alatt: az SQL-injection támadások miatt szolgáltatásuk szünetelt, ezt követően átalakították a webhelyet (2008. január 20.). Még a geekek sincsenek biztonságban: tavaly decemberben (2007. december 5.) feltörték a geeks.com (egy 150 millió dolláros vállalat) weboldalát (a módszert azóta sem hozták nyilvánosságra), és ellopták a geeks.com ügyfeleinek részletes adatait. Az ellopott adatok között a nevek, telefonszámok és e-mail címek mellett a hitelkártyák száma, lejárati dátuma, valamint ami a legfontosabb, az ellenőrző száma (CVV) is szerepelt. A webhelyet „hackermentes” pecséttel látták el (McAfee által üzemeltett szolgáltatás), amelyet tavaly kétszer vontak vissza a biztonsági rések miatt, majd a javítások után ismét visszaállítottak.

Miután a sebezhető webhelyeket feltörték vagy rosszindulatúakat állítottak be, a látogató böngészőjének webhelyén lévő rosszindulatú kód átirányítja a látogatókat egy, vagy több másik webhelyre. Ezek a webhelyek számtalan, különböző célú rosszindulatú kódot tartalmazhatnak: például billentyűzetnaplózókat, rootkiteket, hátsó ajtókat, zsarolóprogramokat, DNS vagy ARP gyorsítótárat megfertőző alkalmazásokat.

A legújabb példák között a következő weboldalak szerepelnek: idén februárban az Arsenal rajongói oldala; (Részletek); a „világ legnagyobb podcasttára”, a (Részletek); rosszindulatú előugró hirdetések az ITV.com webhelyen; valamint a Symantec és Check Point webhelyek, melyet rosszindulatú viszonteladók használtak.

Az elkövetők legtöbb esetben pénzt és/vagy személyes információkat követelnek (amelyek azután felhasználhatók vagy pénzért eladhatók). A személyes adatokkal ellophatják az ügyfél személyazonosságát, amellyel ismét anyagi előnyre tehetnek szert (hamis kölcsönök stb.), az online banki adatokkal pénzt utalhatnak a felhasználó számlájáról az elkövetőére, az online vásárlásra szolgáló hitelesítő adatokkal pedig vásárolni lehet a felhasználó számlájára, mivel a fizetés részleteit általában a webhely tárolja (gondoljon az Amazon webhelyre).

Emellett a bűnözők célja gyakran az, hogy a számítógép csatlakozzon saját botnet-hálózatukhoz, növelve ezzel az „eladható” számítógépek számát. A számítógépet ezután a botnet tulajdonosa, saját igényei szerint, a felhasználó tudta és beleegyezése nélkül használhatja elosztott túlterheléses támadásokhoz, levélszemét küldéséhez, további számítógépek megfertőzésére, adathalászati oldalak üzemeltetésére vagy bármilyen más célra. A felhasználók számítógépe újabb bevételi lehetőséget jelent a bűnözőnek.

A támadások az elmúlt néhány évben (pontosan 2004 óta) egyre rosszabbak lettek. A webes fenyegetések jellemző tulajdonságai közé tartoznak, hogy kihasználják az internet infrastruktúráját, gyakran a 80-as HTTP-porton keresztül terjednek, és sok esetben SMTP protokoll (levélszemét) használatával irányítják el az embereket a rosszindulatú kódokat tartalmazó webhelyekre. A támadások gyakran regionálisak vagy helyiek (vagyis adott nyelven, bizonyos célcsoportnak szánták őket), és igen gyakran építenek a társas kapcsolatokra, például úgy, hogy az üzenetet vagy webhelyet a célcsoportot érintő aktuális eseményhez kapcsolják. A webes fenyegetések másik fő sajátossága, hogy polimorf jellegűek, és a rosszindulatú kód gyorsan változó variánsait használják a szokásos vírusirtó technológiák megkerülésére. Korábban robbanásszerű rosszindulatú kódok voltak a jellemzőek, melyek célja az volt, hogy a legelterjedtebb fertőzést és kárt okozzák a lehető leggyorsabban és leglátványosabban. Ezzel szemben ezek az új fenyegetések minél tovább észrevétlenek próbálnak maradni.

Bár az egyes iparágakra sokféle szabvány és előírás vonatkozik – például a PCI-DSS vagy a SOX – jelenleg nincs olyan átfogó „adatbiztonsági” törvény, amely az információ elvesztését bűncselekménynek minősítené. Az informatikai iparágon belül megoszlik a vélemény arról, hogy egy ilyen törvényre szükség van-e, és ha hatályba lépne, kit kellene felelősségre vonni az esetleges megsértéséért. A számítógépek rosszindulatú feltörésével természetesen sok ország törvénykezése foglalkozik, többek között az Egyesült Királyságban az 1990-ben hozott, számítógépes visszaélésekkel foglalkozó törvény.

Az ilyen újfajta webes fenyegetések legyőzésének egyetlen hatékony módja valamilyen besorolás alapú technológia alkalmazása a hagyományos vírusvédelmi megoldásokon belül. Egy ilyen megoldás biztosítja, hogy a legtöbb feladat elvégzése a hálózaton történjen, mivel a rosszindulatú kódok különböző változatainak gyors megjelenése miatt a vírusdefinícióra épülő megoldások gyorsan használhatatlanná válnak, mivel sok erőforrást igényelnek a védeni kívánt rendszereken.